Тогда для чайника проясните pls:
я всегда понимал что собственно скрипт на странице сам по себе мало чего вредоносного может сделать, но он может "пропихнуть" на комп что-то более серьезное... Т.е трояна, вирус или т.п..
Сам по себе скрипт может сделать фсё, что угодно. Может трояна впигвинить, а может и какой-нить файл убить или каталог. Только смысла в этом нет - сайты не для того ломают, чтобы скрипты убивали что-либо у юзера...
Сообщение от ASte
И вот этот загружаемый в результате выполнения скрипта зловред может и должен отловить файловый антивирус..
Где в моих рассуждениях ошибка?
Если может, то должен, конечно. Если антивирус впигвиниваемого вируса не знает, то никто никому ничего не должен.
---
С уважением,
Borka.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Как сказал выше borka, скриптовые зловреды в абсолютном большинстве используются в виде качалок для установки на локальный комп других зверей (чаще всего - троянцев для воровства паролей или для организации ботнетов). Вот этого "вторичного" троянца может и должен ловить обычный файловый монитор.
Самое противное случается, когда зверек реализуется не в виде скрипта, а в виде иксплоита для мультимедийных файлов. Вот в этом случае зверек самодостаточен, и свое грязное дело он делает сразу же, непосредственно сидя в процессе браузера, и в кеше его ловить бесполезно. "Вторичного" троянца в этом случае не будет, поэтому файловый монитор бессилен.
Remora.w это не то же самое, что Remora.ao, упоминаемая в Вашей ссылке.
Но в общем смысле Вы правы - ловятся только так или иначе известные зверьки. Это утверждение верно и для обычных файловых мониторов. В KIS7 веб-антивирус настроен на максимальный уровень эвристики, который позволяет поймать на периметре и некоторую часть неизвестных вирусов.
Последний раз редактировалось DVi; 18.11.2007 в 22:28.
Причина: Добавлено
Вопрос к DVi:
если качать файл браузером из инет (сам сайт не заражен)- web-антивирус его проверяетили он сразу поступает к файловому?
В смысле, если на web-av эвристика на максимуме а на файловом отключена то будет ли скачиваемый с сайта или ftp файл обработан эвристикой?
Веб-антивирус проверяет все файлы, поступающие на локальный компьютер по протоколу HTTP через указанные в настройке КИСа порты с любого сервера. При этом он не делает различия между файлами, скачиваемыми для сохранения на диске через диалог "Сохранить как..." или для моментального отображения и исполнения в окне браузера. Протокол FTP не проверяется на периметре, т.к. ни один FTP-клиент не занимается исполнением скачанных файлов _до_ сохранения его на диске.
Эвристика включена на максимум в обоих антивирусных модулях периметра КИС: "веб-антивирусе" и "почтовом антивирусе". В "файловом антивирусе" эвристика по умолчанию выключена, т.к. ее работу более качественно и с меньшими задержками выполняет модуль "проактивная защита".
Таким образом:
1. любой скачанный по HTTP файл будет проверен веб-антивирусом с применением эвристики.
2. ни один скачанный по FTP файл не будет проверен веб-антивирусом. Защита от вирусов, скачанных по FTP, осуществляется файловым антивирусом и модулем проактивной защиты.
Web-av в касперском выступает как прокси, пропуская всё через себя, с одной строны это хорошо, с другой плохо - я несмог подружить комодо с ним, если веб-ав включён, то большинство трафика программ идёт через System Idle %)
Web-av в касперском выступает как прокси, пропуская всё через себя, с одной строны это хорошо, с другой плохо - я несмог подружить комодо с ним, если веб-ав включён, то большинство трафика программ идёт через System Idle %)
Web-av в касперском выступает как прокси, пропуская всё через себя, с одной строны это хорошо, с другой плохо - я несмог подружить комодо с ним, если веб-ав включён, то большинство трафика программ идёт через System Idle %)
Тот же результат. Поэтому Касперского пришлось оставить.
Но только по причине неуживчивости.
Перешел на DrWeb 4.44 - пробую Комодо с ним.
На 4.33 все работало нормально.
Последний раз редактировалось naik212006; 19.11.2007 в 00:01.
Причина: дополнение
А что можно сказать про итнтегрированный Firewall KIS?
Меня насторожило что я все подсети пометил как "интернет" а все равно доступ к расшаренным папкам на других компьютерах сети остался?
Каким образом его можно настроить так чтобы быстро переключаться между доверенной сетью и "враждебной"?
Т.е. штатно все настроено в расчете на свою "домашнюю" сеть, но временами подключаюсь например к публичным либо очень "грязным" сетям и тогда надо оставлять только web, почту, ftp а все остальное запрещать..
Есть какая либо тилита с помощью которой я с соседнего компа могу просканировать свой на предмет что открыто и что закрыто?
Kасперский 7.0.0.125 + Comodo 3.0 RC1
Результат обновления AVZ на скриншоте, никаких алертов о том, что avz.exe пытается получить доступ в интернет небыло.
отключаю вэб-антивирус, почтовый и анти-шпиён - всё нормально, алерты на месте.
-дык они ж не мирятся в одной Системе... если раньше был установлен Comodo, то при последующей инсталляции продуктов от Касперского должновыдаваться предупреждение обо всех несовместимых приложениях с предложением удалить их, причем, если проигнорировать, то инсталляция прекращается.
Выскажу своё имхо - все эти списки некорректны, у меня уже давно стоял 2.4 и никогда никаких глюков, бсодов и прочего небыло.
А вот 3.0 как-то некорректно перехватывает трафик, либо вообще не умеет этого делать. Но опять же при взаимных исключениях работает всё просто замечательно.
aste, выxoдит, ceйчac нoд32 caмый дыpявый. paньшe oн был пoлyчшe
Я не думаю, что НОД32 самый дырявый, но то что он стал гораздо хуже чем ранее - это точно.Хотя все в руках юзера, но он должен детектить то, что есть у него в базах.Пять дней назад у знакомого на ноуте пропустил Gavir, хотя раньше был детект.Почему так произошло не знаю.
Так что согласен с DVi в том, что раньше был лучше.